美国正在建立基于身份和属性认证的网络身份生态系统.docVIP

美国正在建立基于身份和属性认证的网络身份生态系统 （一）概述 2009年5月，奥巴马政府发布《网络空间安全评估报告》，突出强调了网络空间的战略地位，指出美国当前网络安全形势严峻，为此设定了网络安全近期和中期行动计划，其中近期计划第10项和中期计划第13项明确，要建立基于网络安全的身份管理战略，保障隐私与公民自由。为了能够在网络空间进行有效作战和高效地组织资源，美国国防部专门设立了美国网络司令部，直接隶属美国战略司令部。网络司令部将协调美国各军种中网络空间行动机构有效运作，确保更好地履行美国国防部的使命。 表36 美国信息安全企业分类 企业类型 业务范围 主要企业 国家队 专门从事美政府部门、情报部门、军方、关键基础设施信息安全保障业务，提供整体架构设计和集成解决方案 洛克希德?马丁、SAIC、通用动力公司、波音和雷神公司等 专业队 提供完整的产品、设备，以及具体某个层面的解决方案 一些进入信息安全领域的传统大型IT企业，包括IBM、微软、思科、Intel、EMC等 特种队 以创新为主，专门提供信息安全专用的、新型的技术和产品，捆绑在前两类企业中，向政府和企业用户提供产品和技术 赛门铁克、RSA等 “国家队”专门从事美政府部门、情报部门、军方、关键基础设施信息安全保障业务，提供整体架构设计和集成解决方案，主要包括洛克希德?马丁、波音和雷神公司等。“专业队”主要提供完整的产品、设备，以及具体某个层面的解决方案，主要是一些进入信息安全领域的传统大型IT企业，包括IBM、微软、思科、Intel、EMC等。“特种队”以创新为主，专门提供信息安全专用的、新型的技术和产品，捆绑在前两类企业中，向政府和企业用户提供产品和技术，包括赛门铁克、RSA等。其中，美国信息安全“国家队”主要由一些长期从事国家安全相关业务的承包商组成，如洛克希德?马丁、波音公司、通用动力公司、雷神公司等都是美国重要的国防承包商，其年度营业额中很大一部分都来自于政府或国防合同，如雷神公司的营业额超过90%来自于国防合约。 4、构建较为完善的基础设施 美国的商业PKI基础设施建设已经比较完善，并有相应的verisign等认证机构。政府基础设施也比较完善，有联邦PKI等。早在上世纪90年代，美国一些联邦政府机构技术，之间缺乏互操作性。为解决不同信任域之间的互操作性问题，联邦政府美国联邦PKI体系Treasury）和国家航空航天局（NASA）。目前联邦PKI体系不仅包括FBCA，还包括联邦通用策略框架CA（FCPCA/COMMON）、电子政务CA（EGCA）、公众及商务类通用CA（C4CA）。 电子政务CA（EGCA）。EGCA向已经批准的联邦机构认证服务提供者和联邦机构依赖方应用签发证书，以促进相互间的信任。目前EGCA有三个：前两个CA支持不同的策略和担保等级，向认证服务提供者签发传输层安全证书；另一个CA向批准的应用签发证书，不论担保等级。 公众及商务类通用CA（C4CA）。C4CA的主要目的是确保那些不渴望与FBCA进行交叉认证的PKI应用也能作为身份解决方案。但是，C4CA吸收的成员是很有限的。目前，外交部（DoS）CA已经被批准与C4CA实现交叉认证，以将电子服务扩展至公众。 5、不断改进技术和应用模式 美国较著名的认证机构有Verisign、Geotrust、Thawte、Globalsign、Comodo、Entrust、Equifax等。这些认证机构具有权威的身份鉴证流程、规范运营管理程序，以及良好的责任担保和赔付保障制度，并且多数已经通过Webtrust审计，服务范围涉及多个国家和地区。 电子护照的技术及应用发展较成熟。外交部（DoS）将数字签名嵌入电子护照中，防止护照的欺诈和伪造；同时数字签名还应用于移民签证的验证定位管理信息系统，电子邮件安全，投标文件加密，XML版权保护外交部的网络安全管理等多方面。又如，国防部（DoD）向其每位雇员、服役军人及相关赞助承包商发放基于硬件设备的PKI证书，最初是以用于公共通道的控制CAC（Common Access Card，是一种用于路由器网络的标准硬件令牌，可以代替密码口令作为登录国防部网站实现强认证，对网页信息和资料库访问者的身份鉴别以及邮件的加解密等）的形式应用；随后国防部开始改进CAC卡，根据国土安全总统指令12号（Homeland Security Presidential Directive 12/HSPD-12）使用了新技术来提高联邦所控制的设备和计算机系统的安全性。国防部也发放软证书用于Web网服务，同时国防部PKI办公室还计划增强机密网络的PKI设施，提高网络安全。